既存のrsyslog設定はTLS 1.2を使用し、TLS1.3にアップグレードしようとします。ここで他の質問を読みましたが、すべてを設定してもログは表示されません。
"openssl ciphers -v | awk '{print $2}' | sort -u" の結果は次のとおりです。
SSLv3
TLSv1
TLSv1.2
TLSv1.3
/etc/ssh/openssl.cnfでMinProtocol = TLSv1.3とMaxProtocol = TLSv1.3を追加してみました。
私のrsyslogd -vは次のようになります。 rsyslogd 8.1901.0(別名2019.01)は次のようにコンパイルされます。
PLATFORM: x86_64-pc-linux-gnu
PLATFORM (lsb_release -d):
FEATURE_REGEXP: Yes
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
32bit Atomic operations supported: Yes
64bit Atomic operations supported: Yes
memory allocator: system default
Runtime Instrumentation (slow code): No
uuid support: Yes
systemd support: Yes
Number of Bits in RainerScript integers: 64
サーバー側では、/etc/rsyslog.dの私のlogserver.confは次のようになります。
$DefaultNetstreamDriver gtls
# certificate files
$DefaultNetstreamDriverCAFile /etc/rsyslog-keys/ca.pem
$DefaultNetstreamDriverCertFile /etc/rsyslog-keys/rsyslogServer-cert.pem
$DefaultNetstreamDriverKeyFile /etc/rsyslog-keys/rsyslogServer-key.pem
module(load="imtcp"
StreamDriver.mode="1"
StreamDriver.authmode="anon"
gnutlsprioritystring="SECURE128:-VERS-TLS-ALL:+VERS-TLS1.3"
)
私のシステムにTLS 1.3を強制する方法を知っている人はいますか?
答え1
ついにTLS1.3が動作するようになりました。 CentOS 7 の場合、gnutls を使用するには、rsyslog-8.29.0-3 と rsyslog-gnutls-8.29.0-3 をインストールします。
次に、rsyslog.d/tls1.3.conf ファイルに次のように入力しました。
module(load="imtcp"
StreamDriver.Mode="1"
StreamDriver.authmode="x509/name" # we use certs
gnutlsPriorityString="SECURE128:-VERS-TLS-All:+VERS-TLS1.3"
私は最新バージョンのrsyslogを試しましたが、うまくいきません。
以下からrsyslog rpmを取得します。 rsyslog rpm
お役に立てば幸いです。